Davide Prina ha scritto: > --- Micron Engineering ha scritto: > > >> 1. le password vanno bene per documenti di bassa sicurezza e comunque >> da >> 7 char in su van bene tutte le applicazione "alla larga da comuni >> occhi >> indiscreti" considerato che qualsiasi strategia "brute force" >> dev'essere >> esaustiva e che quelle "intelligenti" non prescindono dalla lingua >> > > attenzione che se si costruisce un apparecchio hardware specializzato > per un dato compito, allora è possibile far si che quell'hardware sia > in grado di fare solo un determinato compito e farlo molto, ma molto > più velocemente di un hardware generico come è la CPU di un PC che è in > grado di svolgere, più o meno, qualsiasi tipo di compito. > In questo modo puoi costruirti un hardware che fa solo quella data > cosa, ma che riesce a farla in tempi decisamente inferiori di alcuni > ordini di grandezza rispetto ad un hardware generico. > comunque si parla di tempi nell ordine O(n^m) con m numero di caratteri della password e n cardinalità dell'insieme dei possibili caratteri > >> 3. la differenza tra MS e OOo è l'algoritmo di protezione/cifratura >> che >> in MS non è presente, in OOo pare di si stando ad alcuni blog anche >> > > da quello che so io le password ci sono anche in ms-office, solo che > qui le password sono password deboli. La password serve per poter > decriptare il file. > > >> Purtroppo >> per gli utenti smaliziati, il fatto che il codice di OOo sia open >> source >> apre la possibilità di violarne l'algoritmo di crittografia, pertanto >> non è escluso che chi scrive programmi appositi lo abbia studiato ed >> implementato. >> > > guarda che qui hai detto una grande cavolata. > Tenere nascosto qualcosa non vuol dire affatto che sia il metodo per > avere maggior sicurezza ... nell'ambito della sicurezza informatica. > Invece diffondere un algoritmo e dimostrarne la sua sicurezza permette > di aumentare l'affidabilità dello stesso. > Non è così, il numero di algoritmi di criptatura è in costante aumento ed è molto alto, conoscendolo si può ipotizzare data una chiave privata di poter calcolare una data chiave per il documento e quindi tentare di aprirlo. In questo caso a maggior ragione sapendo il criterio di scelta della chiave privata (è stabilito dall'utente? esiste un default o una back door?) e si può fare esaminando il codice sorgente, si riduce il numero di algoritmi da provare da n a 1. Dico ipoteticamente perché i tempi sono comunque elevati nel caso non esistano default e backdoor (che ahimè esistono in troppe implementazioni). Sempre se si parla di criptatura e non di salvataggio della password o di un dato ad essa collegato all'interno del documento. Vista la diversità dei 2 documenti propendo per criptatura per OOo. > Seguendo il tuo ragionamento io posso proteggere un documento > scrivendolo al contrario: in prima posizione l'ultimo byte, in seconda > il penultimo, ... e non rilevando a nessuno cosa ho fatto! > Se qualcuno vuole violare la mia protezione, che è una protezione > debole, allora ci riuscirà in breve tempo. > No, dico che violare ad es. AES è possibile in un tempo finito a patto di sapere che è AES e stabilendo il criterio di assegnazione della chiave privata. Vuoi fare una prova? Salva un file in chiaro, spediscilo a qualcuno e digli la password con cui vuoi che lo salvi, tu fai la stessa cosa con il tuo file con la stessa password. Poi confrontate il contenuto dei vostri 2 file protetti (hanno lo stesso formato) se i file differiscono allora l'algoritmo di protezione usa una chiave privata (che stabilisce lui) se non differiscono allora non usa una chiave privata (soluzione più debole). Chiariamo, è comunque una password forte se usa una chiave privata, dico solo che avendo a disposizione il sorgente si può risalire al criterio di attribuzione della chiave privata e quindi la sicurezza dell'algoritmo scende a quello che non usa una chiave privata. P.S. lo scambio di chiavi private si fa sempre su "canale sicuro" proprio per questa ragione, sapere qual'è l'algoritmo + possedere la chiave privata = poter scoprire/generare password del legittimo proprietario. I tempi sono comunque biblici anche con hw dedicati. > Se invece io creo un algoritmo di protezione e dimostro che è difficile > ricomporre il messaggio originario se non si conosce la "password", > allora chiunque vorrà violare la mia protezione conoscerà sì > l'algoritmo, ma dovrà scontrarsi con la difficoltà intrinseca dello > stesso. > > Ciao > Davide > > > Dizionari: http://linguistico.sourceforge.net/wiki > Esci dall'illegalità: utilizza OpenOffice.org: > http://linguistico.sourceforge.net/wiki/doku.php?id=UsaOOo > GNU/Linux User: 302090: http://counter.li.org > -- > Non autorizzo la memorizzazione del mio indirizzo su outlook > > > > > > > ___________________________________ > L'email della prossima generazione? Puoi averla con la nuova Yahoo! Mail: > http://it.docs.yahoo.com/nowyoucan.html > > --------------------------------------------------------------------- > To unsubscribe, e-mail: [EMAIL PROTECTED] > For additional commands, e-mail: [EMAIL PROTECTED] > > > >
--------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]